特定個人情報取扱規定 有限会社湘南車検センター マイナンバー制度の啓蒙キャラクターマイナちゃんです! 当店では、マイナちゃんの画像は本規定を確認のうえ内閣官房社会保障改革担当室の許可を得て使用しております。 第1章総則 第1条 目的 本規定は、当社が、「行政手続に於ける特定の個人を識別するための番号の利用等に関する法律」 (平成25年法律第27号、以下「番号法」という。」)、「個人情報の保護に関する法律(平成15年法律第57号、以 下「個人情報保護法」という。)及び「特定個人情報の適正な取り扱いに関するガイドラインに基づき、当社の取り扱 う特定個人情報等の適正な取り扱いを確保するために定めるものである。 本規定は、特定個人情報の保護に係る安全管理措置について定めるものである。 個人番号及び個人情報等に関しては、当社の個人情報保護に関する他の社内規定又はマニュアルに優先して本 規定が適用される。本規定の規定が個人情報保護に関する他の社内規定又はマニュアルの規定と矛盾抵触する 場合には今本規定の規定が優先的適用される。 第2条 定義³ 本規定で掲げる用語の定義は、次の通りとする。尚、本規定に於ける用語は、他に特段の定めの無い限り番号法 その他の関係法令の定めに従う。 1.「個人情報とは、個人情報保護法第2条第1項に規定する個人情報であって、生存する個人に関する情報であ り、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別する事が出来るもの(他の情報 と容易に照合する事が出来、それにより特定の個人を識別する事が出来る事となるものを含む。)をいう。 2.「個人番号」とは、番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、 当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう(番号法第2条6項及び第 7項、第8条並びに第67条並びに付則第3条第1項から第3項までおよび第5項に於ける個人番号)。 3.「特定個人情報とは、個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の 符号であって、住民票コード以外のものを含む。番号法第7条第1項及び第2項、第8条並びに第67条並びに付則 第3条第1項から第3項まで及び第5項を除く。)をその内容に含む個人情報をいう。 4.「特定個人情報等」とは、個人番号及び特定個人情報を伴わせたものをいう。 5.「個人情報ファイル」とは、特定個人情報ファイルであって、行政機関及び独立行政法人等以外の者が所有する ものをいう。 6.「特定個人情報ファイルとは、個人番号をその内容に含む個人情報ファイルをいう。 7.「特定個人情報とは、特定個人情報ファイルを構成する個人情報をいう。 ³特定個人情報ガイドライン「第2 用語の定義等」 8.「保有個人情報とは、個人情報取扱事業者(項番⑬)が、開示、内容の訂正、追加又は削除、利用の停止、 消去及び第三者への提供の停止を行う事の出来る権限を有する特定個人情報であって、その存否が明らかにな 1 る事により公益その他の利益が害されるものとして個人情報保護法施行令で定めるもの又は6ヶ月以内に消去す る事となるもの以外のものをいう。 9.「個人番号利用事務とは、行政機関、地方公共団体、独立行政性法人等その他の行政事務を処理する者が 番号法第9条第1項又は第2項の規定によりその保有する特定個人情報ファイルに於いて個人情報を効率的に検 索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。 10.「個人番号関係事務」とは、番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の 個人番号を必要な限度で利用して行う事務をいう 11.「個人番号利用事務実施者」とは、個人番号利用事務を処理する者及び個人番号利用事務の全部または一 部の委託を受けた者をいう。 12.「個人番号関係事務実施者」とは、個人番号関係事務を処理する者及び個人番号関係事務も全部又は一部 の委託を受けた者をいう。 13.「個人情報取扱事業者」とは、特定個人情報ファイルを事業の用に供している者(国の機関、地方公共団体、 独立行政法人等及び地方独立行政法人を除く。)であって、特定個人情報ファイルを構成する個人情報によって識 別される特定の個人の数(個人情報保護法施行令で定める者を除く。)の合計が過去6ヶ月以内のいずれの日に 於いても5,000を超えない者以外の者をいう。 14.「役職員」とは、当社の組織内にあって直接又は間接に当社の指揮監督を受けて当社の事務に従事している 者をいい、雇用関係にある従業者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、当 社との間の雇用関係にない者(取締役、監査役、派遣社員等)を含む。 15.「事務取扱担当者」とは、当社内に於いて、個人番号を取り扱う事務に従事する者をいう。 16.「管理区域」とは、特定個人情報ファイルを取り扱う情報システムを管理する区域をいう。 17.「取扱区域」とは、特定個人情報等を取り扱う事務を実施する区域をいう。 第3条 当社が個人番号を取り扱う事務の範囲⁴⁵ 当社が個人情報を取り扱う事務の範囲は以下の通りとする。 役職員に係る個人番号関係事務 給与所得・退職所得の源泉徴収票作成事務 雇用保険届出事務 健康保険・厚生年金保険届出事務 役職員以外の個人に係る個人番号関係事務 報酬・料金等の支払調書作成事務 配当、剰余金の分配及び基金利息の支払調書作成事務 不動産の使用料等の支払調書作成事務 不動産等の譲り受けの対価の支払調書作成事務 第4条 当社が取り扱う特定個人情報等の範囲⁶ 1.前条に於いて当社が個人番号を取り扱う事務に於いて使用される個人番号及び個人番号と関連付けて管理さ れる特定個人情報は以下の通りとする。 ①役職員又は役職員以外の個人から、番号法第16条に基づく本人確認の措置を実施する際に提示を受けた本 人確認書類(個人番号カード、通知カード、身元確認書類等)及びこれらの写し ②当社が税務署等の行政機関に提出するために作成した法定調書及びこれらの控え ③当社が法定調書を作成する上で役職員又は役職員以外の個人から受領する個人番号が記載された申告書等 ④その他個人番号と関連付けて保存される情報 2.第1項各号に該当するか否かが定かでない場合は、事務取扱責任者が判断する。 第2章 安全管理措置 2 第1節 組織的安全管理措置・人的安全管理措置 第5条 組織体制⁷ 1.当社は、取締役が指名する者を事務取扱担当者とする。 2.事務取扱担当者が複数いる場合は、そのうち一人を責任者とする。⁸ 3.事務取扱担当者は、特定個人情報の保護に十分な注意を払ってその業務を行うものとする。 な 4 3 当社は、管理区域及び取扱区域に於ける特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失 等を防止するために、次の各号に掲げる措置を講じる ①特定個人情報等を取り扱う機器、電子媒体又は文書等を施錠可能な棚及び書庫等に保管する。 ②特定個人情報ファイルを取り扱う情報システムが機器のみの場合、パスワードによるロック等により保護する。 第13条 電子媒体等を持ち出す場合の漏えい等の防止¹⁷ 当社は、特定個人情報等が記録された電子媒体又は種類等の持ち出し(特定個人情報を、管理区域又は取扱区 域の外へ移動させる事を言い、事業所無いでの移動等も含まれる。)は、次に掲げる場合を除き禁止する。 尚、「持ち出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移動させる事をいい、事業所内での移動 等も持ち出しに該当するものとする。 ①個人番号関係事務に係る外部委託先に、委託事務の必要上と認められる範囲内でデータを提供する場合。 ②行政機関等への法定調書の提出等、当社が実施する個人番号関係事務に関して個人番号利用事務実施者に 対しデータ又は種類を提出する場合。 2.事務取扱担当者は、特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、 封筒に封入し鞄に入れて搬送する等、紛失、盗難等を防ぐための方策を講ずるものとする。 「c 電子媒体等を持ち出す場合の漏えい等の防止」の「中小規模事業者に於ける対応方法」 第14条 個人番号の削除、機器及び電子媒体等の廃棄¹⁸ 取締役は、事務取扱担当者又は外部委託先が特定個人情報等を削除・廃棄した事を確認するものとする。 第3節 技術的安全管理措置 第15条 アクセス制御・アクセス者の識別と認証¹⁹ 当社に於ける特定個人情報等へのアクセス制御及びアクセス者の識別と認証は以下の通りとする。 ①特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定する。 ②機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取 扱担当者を限定する。 第16条 外部からの不正アクセスの防止²⁰ 当社は、以下の各方法により情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとす る。 ①情報システムとネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する方法。 ②情報システム及び機器にウィルスバスター等(セキュリティ対策ソフト)を導入する方法。 ③導入したセキュリティ対策ソフト等により、入出力データに於ける不正ソフトウェアの有無を確認する方法。 ④機器及びソフトウェア等に標準装備されているアップデート機能の活用により常に最新の状態とする方法。 ⑤アクセスログ等の分析を定期的に行い、不正アクセスを検知する方法。 第17条 情報漏えい等の防止²¹ 当社は、特定個人情報等をインターネット等により外部に送信する場合、通信経路に於ける情報漏えい等及び 情報システムに保存されている特定個人情報等の情報漏えい等を防止するものとする。 ①通信経路に於ける情報漏えい等の防止策(通信経路の暗号化等) ②情報システムに保存されている特定個人情報の情報漏えい等の防止策 データの暗号化又はパスワードによる保護 第 3 章 技術的安全管理措置 第18条 特定個人情報の適正な取得²² 当社は、特定個人情報等の取得を適法且つ公正な手段によって行うものとする。 4 第19条 特定個人情報の利用目的²³ 当社が、役職員又は第三者から取得する特定個人情報の利用目的は、第3条に掲げた個人番号を取り扱う業務 の範囲内とする。 第20条 特定個人情報の取得時の利用目的の通知等²⁴ 1.当社は、特定個人情報を取得した場合は、予めその利用目的を事業所内又は、速やかに、情報主体に通知し、 又は公表しなければならない。 この場合に於いて、「通知」の方法については、原則として書面(電子的方式、磁気的方式、その他、人の知覚によ っては認識する事が出来ない方式で作られた記録を含む。以下同じ)による事とし、「公表」の方法については、 営業所の窓口等への書面の掲示、備え付け、ホームページ等での公表等適切な方法によるものとする。 当社の役職員から特定個人情報を取得する場合には、社内 LAN に於ける通知、利用目的を記載した書類の提示、 就業規則への明記等の方法による。 2.役職員は、利用目的の変更を要する場合、当初の利用目的と相当の関連性を有すると合理的に認められる 範囲内で利用目的を変更して、本人への通知、公表又は明示を行う事により、変更後の利用目的の範囲内で 特定個人情報を利用する事が出来る 第21条 個人番号の提供の要求²⁵ 当社は、第3条に掲げる事務を処理するために必要が有る場合限り、本人又は他の個人番号関係事務実施者又 は、個人番号利用事務実施者に対して個人番号の提供を求める事が出来るものとする。 第22条 個人番号の提供を求める時期²⁶ 1.当社は、第3条に定める事務を処理するために必要が有る時に個人番号の提供を求める事とする。 2.前項に関わらず、本人との法律関係等に基づき、個人番号関係事務の発生が予想される場合には、契約を 締結した時点等の当該事務の発生が予想出来た時点で個人番号の提供を求める事が可能であるものとする。 たとえば、従業員等の給与の源泉徴収事務、健康保険・厚生年金保険届出事務等及びこれらに伴う給与所得の 源泉徴収票、健康保険・厚生年金保険被保険者資格取得届等の作成事務の場合は、雇用契約の締結時点で 個人番号の提供を求める事も可能である。 第23条 特定個人情報の求めの制限²⁷ 1.特定個人情報の提供とは、法的な人格を超える特定個人情報の移動を意味するものであり、同一法人の内部 等の法的な人格を超えない特定個人情報の移動は「提供」ではなく「利用」に該当し、個人番号の利用制限(第29 条)に従うものとする。 当社は、(番号法第19条各号)の何れかに該当し特定個人情報の提供を受ける事が出来る場合を除き、特定個 人情報の提供を求めてはならない。 第24条 特定個人情報の収集制限²⁸ 当社は、第3条に定める事務の範囲を超えて、特定個人情報を収集しないものとする。 第25条 本人確認²⁹ 当社は、番号法第 16 条に定める各法により役職員又は第三者の個人番号の確認及び当該人の身元確認を行う ものとする。又、代理人については、同条に定める各方法により当該代理人の身元確認、代理権の確認及び本人 の個人番号の確認を行うものとする。 第 26 条 取得段階に於ける組織的安全管理措置・人的安全管理措置³⁰ 特定個人情報の取得段階に於ける「組織的安全管理措置」及び「人的安全管理措置」は第2章(安全管理措置) 第1節 組織的安全管理措置・人的安全管理措置に従うものとする。 第27条 取得段階に於ける物理的安全管理措置³¹ 5 特定個人情報の利用段階に於ける物理的安全管理措置は第2章(安全管理措置)第2節(物理的安全管理措置) に従うものとする。 第28条 取得段階に於ける技術的安全管理措置³² 特定個人情報の利用段階に於ける技術的安全管理措置は第2章(安全管理措置)第2節(技術的安全管理措置) に従うものとする。 第4章 特定個人情報の利用 第29条 個人番号の利用制限³³ 1.当社は、人の生命、身体又は財産の保護のために必要が有る場合を除き、本人の同意が有ったとしても 利用目的を超えて特定個人情報ファイルを作成しないものとする。 第30条 特定個人情報ファイルの作成の制限」³⁴ 当社が特定個人情報ファイルを作成するのは、第3条に定める事務を実施するために必要な範囲に限り、 これらの場合を除き特定個人情報ファイルを作成しないものとする。 第31条 利用段階に於ける組織的安全管理措置・人的安全管理措置³⁵ 特定個人情報の利用段階に於ける組織的安全管理措置及び人的安全管理措置は第2章(安全管理措置)第1節 (組織的安全管理措置・人的安全管理措置)に従うものとする。 第32条 利用段階における物理的安全管理措置³⁶ 特定個人情報の利用段階に於ける物理的安全管理措置は第2章(安全管理措置)第2節(物理的安全管理措置) に従うものとする。 第33条 利用段階に於ける技術的安全管理措置³⁷ 特定個人情報の利用段階に於ける技術的安全管理措置は第2章(安全管理措置)第2節(技術的安全管理措置) に従うものとする。 第5章 特定個人情報の保管 第34条 特定個人情報の正確性の確保³⁸ 事務取扱担当者は、特定個人情報を、第19条に掲げる利用目的の範囲に於いて、性格且つ最新の状態で管理 するよう務めるものとする。 第35条 保有個人情報に関する事項の公表等³⁹ 当社は、個人情報保護法第23条1項に基づき、特定個人情報に係る保有個人情報に関する事項を本人の知り得 る状態に置くものとする。 第36条 特定個人情報の保管制限⁴⁰ 1.当社は、第3条に定める事務の範囲を超えて、特定個人情報を補完してはならない。 2.当社は、所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、支払調書の再 作成等の個人番号関係事務を行うために必要が有るとみとめられるため、当該書類だけでなく、支払調書を作成 するシステム内に於いても保管する事が出来る。⁴¹ 3.当社は、番号法上の本人確認の措置を実施する際に提示を行けた本人確認書類(個人番号カード、通知カード、 身元確認書類等)の写しや当社が行政機関等に提出する法定調書の控えや当該法定調書を作成するうえで事業 者が受量する個人番号が記載された申告書等を特定個人情報として保管するものとする。これらの書類について は、法定調書の作成を行うなど個人番号関係事務の一環として利用する必要が有ると認められるため、関連する 所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間保存する事が出来る。⁴² ⁴³ 第37条 保管段階に於ける組織的安全管理措置・人的安全管理措置⁴⁴ 特定個人情報の保管段階に於ける組織的安全管理措置及び人的安全管理措置は第2章(安全管理措置)第1節 6 (組織的安全管理措置・人的安全管理措置)に従うものとする。 第38条 保管段階に於ける物理的安全管理⁴⁵ 特定個人情報の保管段階に於ける物理的安全管理措置第2章(安全管理措置)第2節(物理的安全管理措置)に 従うものとする。 第39条 保管段階に於ける技術的安全管理措置⁴⁶ 特定個人情報の保管段階に於ける技術的安全管理措置第2章(安全管理措置)第2節(技術的安全管理措置)に 従うものとする。 第 6 章 特定個人情報の提供 第40条 特定個人情報の提供制限⁴⁷ 当社は、番号法第19条各号に掲げる場合を除き、本人の同意の有無に関わらず、特定個人情報を第三者(法的 な人格を超える特定個人情報の移動を意味し、同一法人の内部等の法的な人格を超えない特定個人情報の移動 は該当しないものとする。)に提供しないものとする。尚、本人の同意が有っても特定個人情報の第三者提供が出 来ない事に留意するものとする。 第41条 提供段階に於ける物理的安全管理措置・人的安全管理措置⁴⁸ 特定個人情報の提供段階に於ける組織的安全管理措置及び人的安全管理は第2章(安全管理措置)第1節(組 織的安全管理措置・人的安全管理措置)に従うものとする。 第42条 提供段階に於ける物理的安全管理措置⁴⁹ 特定個人情報の提供段階に於ける物理的安全管理措置は第2章(安全管理措置)第2節(物理的安全管理措置) に従うものとする。 第43条 提供段階に於ける技術的安全管理措置⁵⁰ 特定個人情報の提供段階に於ける技術的安全管理措置は第2章(安全管理措置)第2節(技術的安全管理措置) に従うものとする。 第7章 特定個人情報の開示・訂正・利用停止等 第44条 特定個人情報の開示⁵¹ 1.当社は、本人から当該本人が識別される特定個人情報に係る保有個人情報について開示を求められた場合は、 次条に規定する手続き及び方法により、遅滞なく、当該情報の情報主体である事を厳格に確認したうえで、当該本 人が開示を求めて来た範囲内でこれに応ずるものとする。尚、当該本人に法定調書の写しを送付する際、法定調 書の写しに本人以外の個人番号が含まれている場合には、その部分についてはマスキング処理等をするものとす る。⁵² 2.当社は、次の事由に該当する場合には、当該開示請求の全部または一部を不開示とする事が出来、その場合 には請求者に対してその旨及び理由(根拠とした個人情報の保護に関する法律の条文及び判断の基準となる事 実を示す事とする。)を説明する事とする。 ①本人又は第三者の生命、身体、財産、その他の権利利益を害する恐れが有る場合。 ②当社の業務の適正な実施に著しい支障を及ぼす恐れが有る場合。 ③他の法令に違反する事となる場合。 第45条 保有個人情報の開示請求処理手順⁵³ 前条に基づき本人又はその代理人(未成年者もしくは成年被後見人の法定代理人、又は本人が委任した任意代 理人をいう。以下同じ。)から当該本人が識別される特定個人情報に係る保有個人情報について開示請求を受け た場合は、次の手順で応ずる事とする。 ①受付時の確認 7 A 所定の様式の書面(請求者の氏名・住所・電話番号・請求年月日、請求に係る個人情報の内容が記載されてい るもの)による請求である事。 B 予め定めた手数料の負担について請求者が応諾している事。 C 代理人による請求の場合は、所定の委任状によるものである事。 D 尚、郵送による本人確認資料の受領等の場合は、事務取扱責任者が適宜判断する。 ②開示の可否の決定 事務取扱担当者は、次の各号に定める点について、各々検討の上、開示の可否を決定する。 A 請求された個人情報が物理的に存在するか否か。 B 前号に相当するものが、「保有個人情報」に該当するか否か。 C 規定第19条第1項に定める不開示理由に該当するか否か。 ③不開示の場合の対応 前号に基づき保有個人情報の全部又は一部を開示しない旨の決定をした場合は、その旨を通知し、その理由につ いても説明をする事とする。⁵⁴ ④請求者に対する通知時期 A開示請求に対する回答(不開示の場合の通知も含む)は書面にて、遅滞なく郵送又はこれに代わる方法により通 知する。 第46条 保有個人情報の訂正等⁵⁵ 当社は、当該本人が識別される保有個人情報の内容が事実でない事を理由に当該本人から訂正、追加又は削除 を求められた場合は、必要な調査を行い、その結果に基づき、遅滞なくこれに応ずる事とする。係る訂正等を行っ た時、又は訂正等を行わない旨の決定をした時は、当該本人に対し、遅滞なくその旨(訂正等を行った時は、その 内容を含む。)を通知するものとする。尚、訂正等を行わない場合又は当該本人の求めと異なる措置を採る場合は、 その判断の根拠となる事実を示し、その理由を説明する事とする。 第 47 条 保有個人情報の訂正等処理手順⁵⁶ 1.前条に基づき、開示の結果、特定個人情報に係る保有個人情報が事実ではないとして、訂正、追加、又は削除 (以下「訂正等」と総称する。)を求められた場合は、次の手順にて応ずる事とする。 ①当該請求者に対し、訂正等すべき内容が事実である旨を証明出来る資料の提出を求める。 ②事務取扱責任者は、提出された資料に基づき、利用目的の達成に必要な範囲内に於いて地帯なく必要な調査 を行い、訂正等を行うか銅貨を決定する。 ③検討した結果については、遅滞なく当該請求者に対して書面にて、郵送又はこれに代わる方法により通知する。 2.特定個人情報に係る保有個人情報の訂正等は、次に掲げる各号に従って行わなければならない。 ①事務取扱責任者は、当該保有個人情報を取り扱う事務取扱担当者を特定し、その者以外に訂正等の作業を行 わせてはならない。 ②事務取扱担当者は、訂正等の作業を事務取扱責任者の指示に従って行い、事務取扱責任者が作業結果を確 認する。 ③事務取扱責任者は、更新理由、訂正等の申請者、訂正等の日付、管理責任者、事務取扱担当者及び訂正等の 内容を記録し【1 年間】保管する。 第 48 条 保有個人情報の利用停止等⁵⁸ 1.当社は、本人から、当該本人が識別される保有個人情報が、個人情報保護法第 16 条の規定に違反して取得さ れているという理由、同法第 17 条の規定に違反して取り扱われたものであるという理由又は番号法第 19 条の規定 に違反して第三者に提供されているという理由によって、当該保有個人情報の利用の停止、消去又は第三者への 8 提供の停止(以下本条に於いて「利用停止等」という。)を求められた場合であって、利用停止等に理由が有る事が 判明した時は、違反を是正するために必要な限度で、遅滞なく、当該特定個人情報の利用停止等を行わなければ ならない。但し、利用停止等を行う事に多額の費用を要する場合その他の利用停止等を行う事が困難な場合であ って、当該本人の権利利益を保護するため必要なこれに代わるべき措置をとる時は、この限りではない。 2.前項の規定に基づき求められた利用停止等の全部又は一部を行った時若しくは行わない旨の決定をした時は、 本人に対し、地帯なく、その旨(当該本人から求められた措置と異なる措置を行う場合にはその措置内容を含む。) を通知しなければならない。尚、利用停止等を行わない場合又は本人の求めと異なる措置を採る場合は、その判 断の根拠及びその根拠となる事実を示し、その理由を説明する事とする。⁵⁹ 第 49 条 開示等を求める手続き及び手数料⁶⁰ 1.当社は、特定個人情報に関して、個人情報保護法第 29 条第 1 項の開示等の求めを受け付ける方法を定めた 場合には、「個人情報保護基本方針」と一体としてインターネットのホームページでの常時掲載を行う事、又は、事 務所の窓口等での掲示・備え付けを行う事とする。 2.開示等の求めをする者が本人又は代理人である事の確認の方法を定めるに当たっては、十分且つ適切な確認 手続きとするよう留意する。 3.個人情報保護法第 30 条に従い、手数料を徴収する場合には、同様の内容の開示等手続きの平均的実費の予 測に基づき、合理的な手数料額を算定する等の方法により実費を勘案して合理的であると認められる範囲に於い て手数料の額を定めなければならない。 第 8 章 特定個人情報の廃棄・削除 第 50 条 特定個人情報の廃棄・削除⁶¹ 当社は、第 3 条に規定する事務を処理する必要が有る範囲内に限り特定個人情報等を収集又は保管し続けるも のとする。尚、書類等について所管法令によって一定期間保存が義務付けられているものについては、その期間 保管するものとし、それらの事務を処理する必要がなくなった場合で、所管号令に於いて定められている保存期間 を経過した場合には、個人番号を出来るだけ速やかに廃棄又は削除するものとする。 第 51 条 廃棄・削除段階に於ける「組織的安全管理措置」及び「人的安全管理措置」⁶² 特定個人情報の廃棄・削除段階に於ける「組織的安全管理措置及び「人的安全管理措置」は、第 2 章(安全管理 措置)第 1 節(組織的安全管理措置及び人的安全管理措置)に従うものとする。 第 52 条 廃棄・削除段階に於ける物理的安全管理措置⁶³ 特定個人情報の廃棄・削除段階に於ける物理的安全管理措置は第 2 章(安全管理措置)第 2 節(物理的安全管理 措置)に従うものとする。 第 53 条 廃棄・削除段階に於ける技術的安全管理措置⁶⁴ 特定個人情報の廃棄・削除段階に於ける技術的安全管理措置は第 2 章(安全管理措置)第3節(技術的安全管理 措置)の第 15 条に従うものとする。 第 9 章 特定個人情報の委託の取り扱い 第 54 条 委託先に於ける安全管理措置⁶⁵ 1.当社は、個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする場合には、当社自らが果た すべき安全管理措置と同等の措置が委託先に於いて適切に講じられるよう、必要且つ適切な監督を行うものとす る。 2.前項の「必要且つ適切な監督」には次に掲げる事項が含まれる。 ①委託先の適切な選定 9 ②委託先に安全管理措置を遵守させるために必要な契約の締結 ③委託先に於ける特定個人情報の取扱状況の把握 3.前項第 1 号の「委託先の適切な選定」としては、以下の事項について特定個人情報の保護に関して当社が定め る水準を満たしているかについて、予め確認する。 (1)設備 (2)技術水準 (3)従業者(事業者の組織内にあって直接的又は間接的に事業者の指揮監督を受けて事業者の業務に従事してい る者、従業員・取締役・監査役・理事・監事・派遣社員等を含むをいう。)に対する監督・教育の状況 (4)経営環境状況 (5)特定個人情報の安全管理の状況(「個人番号を取り扱う事務の範囲の明確化」、「特定個人情報等の範囲の明 確化」、「事務取扱担当者の明確化」、「個人番号の削除、機器及び電子媒体等の廃棄」を含むがこれらに限らな い。) (6)暴力団、暴力団員、暴力団員でなくなった時から 5 年を経過しない者、暴力団準構成員、暴力団関係企業、総会 屋等、社会運動等標榜ゴロ又は特殊知能暴力集団等、その他これらに準ずる者(以下総称して暴力団員等とい う。)または以下の(ⅰ)から (ⅴ)までのいずれにも該当しない事 (ⅰ)暴力団員等が経営を支配していると認められる関係を有する事 (ⅱ)暴力団員等が経営に実質的に関与していると認められる関係を有する事 (ⅲ)自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的を持ってするなど、不当 に暴力団員等を利用していると認められる関係を有する事 (ⅳ)暴力団員等に対して資金等を提供し、又は便宜を供与する等の関与をしていると認められる関係を有する事 (ⅴ)役員又は経営にひっ質的に関与している者が暴力団員等と社会的に非難されるべき関係を有する事 4.第 2 項第 2 号の「委託先に安全管理措置を遵守させるために必要な契約の締結」については、委託契約の内容 として以下の規定等を盛り込むものとする。 ①秘密保持義務に関する規定 ②事業所内からの特定個人情報の持ち出しの禁止 ③特定個人情報の目的外利用の禁止 ④再委託に於ける条件 ⑤漏えい事案等が発生した場合の委託先の責任に関する規定 ⑥委託契約終了後の特定個人情報の返却又は廃棄に関する規定 ⑦従業者に対する監督・教育に関する規定 ⑧契約内容の遵守状況について報告を求める規定に関する規定 ⑨特定個人情報を取り扱う従業者の明確化に関する規定 ⑩委託者が委託先に対して実地の調査を行う事が出来る規定 5.当社は、委託先の管理については「取締役会」を責任部署とする。 6.当社は、委託先に於いて特定個人情報の安全管理が適切に行われている事について、「1 年に 1 回以上の頻 度」で必要に応じて調査するものとする。 7.当社は、委託先に於いて情報漏えい事故が発生した場合に、適切な対応がなされ、速やかに当社に報告され る体制になっている事を確認するものとする。 8.委託先は、当社の許諾を得た場合に限り、委託を受けた「個人番号関係事務」又は「個人番号利用事務」の全 部又は一部を再委託する事ができるものとする。再委託先が更に再委託する場合も同様とする。 10 9.当社は、再委託先の適否の判断のみならず、委託先が再委託先に対しても必要且つ適切な監督を行っている かどうかについても監督する。 10.当社は、委託先が再委託をする場合、当該再委託契約の内容として、第 4 項と同等の規定を盛り込ませるも のとする。 第 10 章 その他 第 55 条 改廃 本規定の 改廃は、取締役会の決議による。 付則 本規定は2015年 8月 24日から施行する。 11 【参考文献・用語の定義等】 1:「中小規模事業者」とは、事業者のうち従業員の数が100人以下の事業者であって、次に掲げる事業者を除く 事業者をいいます。 個人番号利用事務実施者 委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者。 金融分野(金融庁作成の「金融分野に於ける個人情報保護に関するガイドライン」「第1条第1項に定義される金融 分野の事業者 2:個人情報取扱事業者 HTTP://WWW.CAO.GO.JP/BANGOUSEIDO/PPC/GUIDELINE/PDF/261211GUIDELINE2.PDF 3:特定個人情報ガイドライン「第2用語の定義等 4:安全管理措置ガイドライン「1.安全管理措置の検討手順」「A 個人番号を取り扱う事務の範囲の明確化」 :5: 本規定は利用目的の特定(個人情報保護法第15条1項)にも関連する規定である。 個人情報保護法第15条1項に基づき、事業者は、個人番号の利用目的を出来る限り特定しなければならないが、 その特定の程度としては、「本人が、自らの個人番号がどのような目的で利用されるのかを一般的且つ合理的に 予想出来る程度」に特定する必要がある。個人番号関係事務の場合、「源泉徴収票作成事務」、「健康保険・厚生 年金保険届出事務」のように特定する事が考えられる。(特定個人情報ガイドライン「第4-1-(1)個人番号の利用制 限」「1.個人番号の原則的な取り扱い」「B 利用目的を超えた個人番号の利用禁止」「A 利用目的を超えた個人番 号の利用禁止」 6: 安全管理措置ガイドライン「1.安全管理措置の検討手順」「B 特定個人情報等の範囲の明確化」 7: 安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「C 組織的安全管理措置」 「A 組織体制の整備」 8:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」 「C 組織的安全管理措置」 「A 組織体制の整備」の中小規模事業者に於ける対応方法」 9:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「B 取扱規定等の策定の 「中小規模事業者に於ける対応方法」 10:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「D 人的安全管理措置」 「A 事務取扱担当者の監督」 11:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」」「C 組織的安全管理措置」「D 人的安全管理措 置」「B 事務取扱担当者の教育」 12: 安全管理措置ガイドライン「2.講ずべき安全管理措置の内容「C 組織的安全管理措置」 「B 取扱規定に基づく運用」・「C 取扱状況を確認する手段の整備」の「中小規模事業者に於ける対応方法」。 Q&A14-2に於いて、「取扱状況の分かる記録を保存する」とは、例えば、①特定個人情報の入手・破棄、源泉徴 収票の作成日、本人への交付日、税務署への提出日等の、特定個人情報等の取り扱い状況記録する事、②取扱 規定、事務リスト等に基づくチェックリストを利用して事務を行い、その記入済みのチェックリストを保存する事が該 当するとされている。 13:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「C 組織的安全管理措置」「D 情報漏えい等事案に 対応する体制の整備」の「中小規模事業者に於ける対応方法」 14:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「C 組織的安全管理措置」 12 【E 取り扱い状況の把握及び安全管理措置の見直し】の「中小規模事業者に於ける対応方法」 15: 安全管理措置ガイドライン「2 講ずべき安全管理措置の内容」 「A 特定個人情報等を取り扱う区域の管理」「2.講ずべき安全管理措置の内容」 16:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「E 物理的安全管理措置」 「B 機器及び電子媒体等の盗難等の防止」 17:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「E 物理的安全管理措置」 「C 電子媒体等を持ち出す場合の漏えい等の防止」の「中小規模事業者に於ける対応方法」 18:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「E 物理的安全管理措置」「D 個人番号の削除、 機器及び電子媒体等の廃棄」の「中小規模事業者に於ける対応方法」 19:安全管理措置ガイドライン 2.「講ずべき安全管理措置の内容」「F 技術的安全管理措置」「A アクセス制御」・ 「アクセス者の識別と認証」の「中小規模事業者に於ける対応方法」 20:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「F 技術的安全管理措置」「F 技術的安全管理措 置」「C 外部からの不正アクセス等の防止」 21:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「F 技術的安全管理措置」「D 情報漏えいの防止」 22:個人情報保護法第27条 23:個人情報保護法第15条1項。どう規定に基づき、事業者は、個人番号の利用目的を出来る限り特定しなけれ ばならないが、その特定の程度としては、本人が自らの個人番号がどのような目的で利用されるのかを一般的且 つ合理的に予想出来る程度に具体的に特定する必要がある。 24:個人情報保護法第18条 25:番号法第14条1項、特定個人情報ガイドライン「第4-3-(1)個人番号提供の要求」 26:番号法第14条1項、特定個人情報ガイドライン「第4-3-(1)個人番号提供の要求」「2提供を求める時期」 27:番号法第15条、特定個人情報ガイドライン「第4-3-(2)個人番号提供の求めの時期」 「特定個人番号提供の提供制限」1.提供の求めの制限」 28:番号法第20条、「第4-3-(3)収集・保管制限」「A 収集制限」 29:番号法第16条 30:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「C 組織的安全管理措置「D 人的安全管理措置」 31:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「E 物理的安全管理措置」 32:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「F 技術的安全管理措置」 第26条 取得段階に於ける組織的安全管理措置・人的安全管理措置³⁰ 特定個人情報の取得段階に於ける組織的安全管理措置及び人的安全管理措置は第2章(安全管理措置) 第1節 組織的安全管理措置・人的安全管理措置に従うものとする。 33:番号法第9条3項により読み替えて適用される個人情報保護法第16条1項、番号法第32条、特定個人情報ガ イドライン「第4-1-(1)個人番号の利用制限」「1.個人番号の原則的な取り扱い」 34:番号法第28条、特定個人情報ガイドライン「第4-1-(2)特定個人情報ファイルの作成の制限」 35:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「C 組織的安全管理措置」「D 人的安全管理措置」 36:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「E 物理的安全管理措置」 37:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「F 技術的安全管理措置」 38:個人情報保護法第19条 39:個人情報保護法第第24条 40:番号法第20条 13 41:QA6-4に於いて、「所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、 支払調書の再作成等の個人番号関係事務を行うために必要が有ると認められるため、当該書類だけでなく、支払 調書を作成するシステム内に於いても保管する事が出来ると解されます。」とされている。 42:QA6-2に於いて「番号法上の本人確認の措置を実施するに当たり、個人番号カード等の本人確認書類のコピ ーを保管する法令上の義務は有りませんが、本人確認の記録を残すためにコピーを保管することはできます。 尚、コピーを保管する場合には、安全管理措置を適切に講ずる必要が有ります。とされている。 43:パブリックコメント回答37頁154番に於いて「事業者が税務署等に提出する法定調書の控えや当該法定調書 を作成する上で事業者が受領する(個人番号が記載された申告書等)については、法令上、明示的に保存する義 務が課せられていないもの」について「法定調書の再作成を行うなど個人番号関係事務の一環として利用する必 要が有ると認められる場合は、個人番号の保管を継続する事が出来ます。」とされている。 44:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「C 組織的安全管理措置」 45:安全管理措置ガイドライン 2.「講ずべき安全管理措置の内容」「E 物理的安全管理措置」 46:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「F 技術的安全管理措置」 47:番号法第19条、特定個人情報ガイドライン「第4-3-(2)個人番号の提供の求めの制限、 特定個人情報の提供の制限」「2特定個人情報の提供制限」 48:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「C 組織的安全管理措置」 49:安全管理措置ガイドライン 2.「講ずべき安全管理措置の内容」「E 物理的安全管理措置」 50:安全管理措置ガイドライン「2.講ずべき安全管理措置の内容」「F 技術的安全管理措置」 51:個人情報保護法第52条 52:パブリックコメント回答31頁131番。尚、死者の個人番号については、特定個人情報に該当しないので、提供 制限は適用されず、特段マスキング処理をする必要は求められていない。 53:個人情報保護法第25条 54:個人情報保護法第28条 55:個人情報保護法第 26 条 56:個人情報保護法第 26 条 57:個人情報保護法第 28条 58: 個人情報保護法第27条 59: 個人情報保護法第28条 60: 個人情報保護法第29条、30 条 61:番号法第 20 条、特定個人情報ガイドライン「第4-3-(3)収集・保管制限」「B 保管制限と破棄」 62: 安全管理措置ガイドライン 2.「講ずべき安全管理措置の内容」「C 組織的安全管理措置」 63: 安全管理措置ガイドライン 2.「講ずべき安全管理措置の内容」「E 物理的安全管理措置」 64: 安全管理措置ガイドライン 2.「講ずべき安全管理措置の内容」「F 技術的安全管理措置」 65:番号法第 11 条、個人情報保護法第 22 条、特定個人情報ガイドライン「第4-2-(1)」委託の取り扱い」 14 別紙 特定個人情報等の取り扱い状況・運用状況のチェックリスト(本規定第 8 条関連) 特定個人情報等の入手日 年 月 日 源泉徴収票・支払調書の作成日 年 月 日 源泉徴収票・支払調書等の法定調書等の本人への交付日 年 月 日 源泉徴収票・支払調書等の法定調書の税務署等の行政機関への提出日 年 月 日 特定個人情報の廃棄日 年 月 日 15
© Copyright 2024 ExpyDoc
